网络服务提供者的刑事责任问题研究

上海市普陀区人民检察院课题组

当网络成为人们的基本生活平台，网络空间与现实空间逐步走向交叉融合，“双层社会正在逐步形成”。与此同时，网络技术的到来也冲击着原有的制度体系，越来越多的网络脱序行为、网络违法行为乃至网络犯罪行为大量涌现。在此背景下，网络服务提供者作为强大的网络社会结构性力量，不再是纯粹的商业活动经营者，还负有网络安全管理者的双重身份，俨然已成为刑事责任的研究对象。根据最高人民法院、最高人民检察院《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》，网络服务提供者不以营利为前提条件，不限于商事主体，仅指网络中介服务行为，即行为主体不对传播的信息进行控制和编辑，仅为网络空间中发布、编辑、修改的信息内容提供技术支持和技术路径。据此，网络服务提供者是指通过信息网络，为网络用户提供信息网络接入、通信传输、网络缓存、网络储存、服务器托管、广告推广、支付结算或网络平台等中介服务的个人或组织。

一、网络服务提供者刑事责任的理论与实践问题反思

2015年《中华人民共和国刑法修正案（九）》（以下简称《刑修九》）的出台，明确了拒不履行信息网络安全管理义务罪和帮助信息网络犯罪活动罪，我国刑法首次对网络服务提供者的刑事责任进行了规定。然而，“快播案”“深度链接案”等重大影响性案件引爆全社会的高度聚焦。以“快播案”为例，法院认定快播公司构成《刑法》第363 条的传播淫秽物品牟利罪，理由为快播公司拒不履行监管义务，放任淫秽视频在网上传播，构成了不作为的传播行为。而有学者认为是否构成不作为的传播行为，应当看其是否履行了对淫秽作品的合理审查义务，要求快播公司逐条查看并删除其中的淫秽视频实为强人所难，因此难以认定快播公司构成传播淫秽物品牟利罪的正犯。也有学者认为快播公司难以认定为传播淫秽物品牟利罪的帮助犯，因仅根据快播公司主动对用户上传的资源进行主动提取和缓存，难以证明快播公司与真正传播淫秽信息的犯罪行为人之间存在意思联络，而确定帮助犯至少需要有明确的认识。〔1〕参见纪康：《网络犯罪中立帮助行为的认定——以快播案为视角》，载《司法论坛》2017年第2 期，第2 页。此种争议体现出网络帮助行为在实践中仍存在认定障碍。具体体现在：

第一，立法未对网络服务提供者以类型化归责。我国在将网络服务提供者的行为入罪时未明析网络服务提供者的概念，虽在行政法规及司法解释中对网络服务提供者进行了简单分类和服务类型的列明，但未根据网络服务提供者的类型划分具体承担的责任，司法实践中呈现无法可依的状态。例如，快播公司主张其仅作为网络平台提供者，根据技术中立原则不对发布在平台上的淫秽信息承担责任，而法院对快播公司的经营模式进行详细的分析，最终将其角色定位为网络视频软件提供者和网络视频内容管理者的角色，进而否定其行为的技术中立性、排除“避风港”原则的使用，而该类型认定仍因无立法的明确规制而饱受争议。

第二，客观归责主义理论存在疑问。对于一般的P2P 网络服务行为而言，其只为用户提供上传、下载软件的服务，仅仅是客观上对用户上传的侵权信息起到传播作用，而非内容提供商和管理者，对该行为是否以共犯理论要求其承担刑事责任在理论和实践中存有争议。而根据我国相关案例，基本都将此种行为以共犯理论入罪处理。而此种共犯理论已被德国、日本等学者批判，认为单方面的帮助行为不应以共犯论处。

第三，网络服务提供者的安全管理义务边界不清晰。我国并未具体明确网络服务提供者应履行的具体管理义务，在此前提下，需承担拒不履行信息网络安全管理义务罪的刑事责任风险，有打击网络技术发展之嫌。就“快播案”而言，要求快播公司审查和过滤信息甚至到达某种程度，实际上并没有行业标准予以规定。从域外立法来看，大多否定网络服务提供者具有审查信息的义务，且在判例中明确主管部门不得要求网络服务提供者必须植入信息内容的过滤系统，否则不仅会严重侵犯其经营自由，也会造成成本的高昂和复杂。〔2〕参见刘艳红：《无罪的快播与有罪的思维——“快播案”有罪论之反思与批判》，载《政治与法律》2016年第12期，第108 页。

二、当前法律框架下的司法认定与刑事责任

（一）网络服务提供者刑事责任的义务前提

1．信息网络安全管理义务的来源

网络服务提供者的行为之所以能够被纳入刑法规制，是因为其具有特殊的义务，能够对犯罪行为或结果起到抑制作用，当其主动违背法律实施某些犯罪行为或者在特定情况下不履行义务时，则应当承担刑事责任。这种信息网络安全管理义务的理论依据有两点：一是网络服务提供者对于信息网络的内容具有相对于其他主体更好的实时管控能力；二是网络服务提供者与被服务对象共同导致了犯罪结果甚至实施了犯罪行为，二者具有互利共生的关系。基于上述理由，网络服务提供者本身有能力、有义务（道德、理论层面）不参与犯罪行为、阻止犯罪行为及抑制犯罪影响扩大。但是，网络服务提供行为本身属于一种中性行为，要求网络服务提供者对服务对象主观意图和客观行为进行有效的认知。一方面，在信息时代，此种高覆盖的操作不具有现实可能性；另一方面，此种要求对网络服务提供者施加了过多的法律责任，可能抑制信息网络的发展及创新。基于此，立法机关并没有为了追求打击犯罪而对网络服务提供者施加过多的法律责任，而是在刑事立法层面限定了其义务来源，以限定刑事责任范围，如不作为模式下的拒不履行网络信息安全管理义务罪，要严格根据法律、行政法规规定判断网络服务提供者是否具有作为义务，进而结合是否具有作为（履行）能力、“拒不改正”、严重后果等要素判断是否构成拒绝履行网络信息安全管理义务罪。

2．不同网络服务提供者的义务内容

网络服务提供者所负的网络安全管理义务包括落实制度、技术措施，发现、处置违法信息，信息备份、留存。〔3〕参见全国人大常委会法制工作委员会刑法室编：《<中华人民共和国刑法修正案（九）>条文说明、立法理由及相关规定》，北京大学出版社2016年版，第215—216 页。第一，各类网络服务提供者均不承担主动审查义务，这是兼顾创新和实际的要求。有学者在论述“避风港”原则在我国规范性文件中的体现时提到，在著作权领域，网络服务提供者被设定了一定范围的主动审查义务。对此需要明确，在民事法律中，网络服务提供者承担一定的主动审查义务，此于法律的经济性和社会效果的最大化都有所裨益，但此项义务不延及刑事司法领域。原因有二：其一，有利于控制帮助行为入罪的边界。网络服务行为本身属于中立业务行为，当介入服务对象的犯罪行为时，便成为刑法上的中立帮助行为，刑法的一般原则是不处罚中立帮助行为。《刑修九》新增的3 个罪名实际使得部分帮助行为可以独立评价成罪，为了有效区分可归责的帮助行为与不可罚的中立帮助行为，应当将覆盖面无限大的主动审查义务排除在外。其二，大数据时代让每个人每天都可以感受到巨量的数据信息在指尖游走，要求网络服务提供者主动审查的信息量过大，对全部信息的有效审查基本不可能实现。第二，不同网络服务提供者的具体义务内容应与其管控作用相对应。不同的网络服务提供者只有在违背自己职能所承载的义务而助力犯罪，或在自己有能力发挥抑制犯罪作用而不作为时才承担刑事责任。确定网络服务提供者义务内容的依据就在于其各自对自身所提供的网络服务所对应享有控制权的事项，即应作为或不应作为的事项。有学者认为，当网络服务提供者对违法信息处于直接控制地位时，其则可能承担刑事责任，即“直接控制说”，主张网络服务提供者只对直接的第一环节、第一层次的违法信息负责。〔4〕参见涂龙科：《网络内容管理义务与网络服务提供者的刑事责任》，载《法学评论》2016年第3 期，第71 页。笔者认为，直接控制地位是网络服务提供者义务的现实来源，是其承担刑事责任的前提条件之一，这一学说事实上可以限定对网络服务提供者的刑事责任追究范围，可以兼顾打击网络犯罪和保障网络经营、创新环境。

（二）网络服务提供者的刑事责任模式

1．单独责任模式

网络服务提供者具有独立的犯罪主体地位，其实行行为是否承担刑事责任完全取决于自身的主客观要素，本文称之为单独责任模式。具体包括作为与不作为两种情形：在作为情形下，为自己发布信息、修改他人信息，由网络服务提供者转变为内容提供者，承担完全独立的刑事责任；在不作为情形下，存在行政程序前置——责令改正而拒不改正的，可能构成拒不履行信息网络安全管理义务罪。

其一，行政程序前置化问题。行刑衔接问题一直为刑法理论界所深入展开讨论，拒不履行信息网络安全管理义务罪法条规定“经监管部门责令采取改正措施而拒不改正”，有学者即指出其具有“行政不法依附性”和刑事责任追究的消极特性，排除了网络用户自行寻求权益保护的空间。〔5〕参见熊波：《网络服务提供者刑事责任“行政程序前置化”的消极性及其克服》，载《政治与法律》2019年第5 期，第50—51 页。因此，似乎本罪实际更多的是保障了行政执法的效果，不配合行政机关的可能承担刑事责任，实际上就保护用户权益这一方面反而阻断了范围最广的网络用户主张权益保护的渠道。但是，笔者认为这一罪名的法理学基础并不存在问题。一方面，随着时代的发展，法定犯的罪名及犯罪数量会越来越多，这是时代不断发展、新事物不断出现，刑法要发挥其有效治理社会功能、行为底线作用的必然要求，显著特征即在于刑事违法性直接来自于刑事法律的规定，部分犯罪直接要求行政程序在先，但另外设定了一定的主客观要素，如主观明知、客观导致法定后果，这已然不能用行政不法的依附性来批判法定犯，恰恰这种前置性、依附性在一定程度上体现了刑法的谦抑性和底线思维。另一方面，用户反馈机制是客观存在的，网络服务提供者的责任不同于直接实施电信诈骗等行为人，用户可以选择直接要求其作出删除等处理，也可以选择向有权的行政机关反映并要求处理，“用户反映—行政处理+责令不改—刑事责任”的模式实际上也保障了用户的权益，若规定用户可直接引发对网络服务提供者的刑事责任追究，一是可能导致网络服务提供者承担过大的司法压力；二是可能有违刑法谦抑性，让刑法成为“一般性武器”。

其二，“拒不改正”实际认定难，“情节严重”类型规定具有模糊性及矛盾性，这直接导致该罪名的适用难。网络服务有其独特的运行模式，“一对多”的形式使得其可能采取无效措施、故意采取无效措施、谎称采取措施等，上述情形均较难认定。另外，《刑法》第286 条之一虽列举了“情节严重”的情形，并且司法解释也规定了具体的量化标准，〔6〕《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》第3 条规定：“拒不履行信息网络安全管理义务，具有下列情形之一的，应当认定为刑法第二百八十六条之一第一款第一项规定的‘致使违法信息大量传播’：（一）致使传播违法视频文件二百个以上的；（二）致使传播违法视频文件以外的其他违法信息二千个以上的；（三）致使传播违法信息，数量虽未达到第一项、第二项规定标准，但是按相应比例折算合计达到有关数量标准的；（四）致使向二千个以上用户账号传播违法信息的；（五）致使利用群组成员账号数累计三千以上的通讯群组或者关注人员账号数累计三万以上的社交网络传播违法信息的；（六）致使违法信息实际被点击数达到五万以上的；（七）其他致使违法信息大量传播的情形。”但实际数量统计难，此外列举的情形与要求其及时删除违法犯罪信息等有所矛盾。上述情况直接导致了拒不履行信息网络安全管理义务罪的适用持续空窗情况。

2．共同责任模式

《刑修九》增设了帮助信息网络犯罪活动罪，网络服务提供者作为帮助犯独立成罪，理论界称为帮助犯正犯化，只需证明下游违法犯罪行为的存在，即可追究网络服务提供者的刑事责任，并及时遏止有关犯罪。因无论是共犯还是帮助犯正犯化，网络服务提供者刑事责任的认定都在一定程度上依赖于他人行为涉嫌犯罪事实的查清，并且帮助犯正犯化本身就是由共同犯罪中的帮助犯演变而来，只是后者由法律规定为独立刑事责任，故本文将其统称为“共同责任模式”。

共犯模式与帮助犯正犯化模式下网络服务提供者刑事责任的区分主要体现在以下三个方面：第一，主观“明知”的证明标准不同，一是“明知”的内容不同；二是是否可以适用推定方式及具体要求不同。共犯的“明知”不仅要求明知对方意欲实施犯罪行为，还要与对方有相应的意思联络，即通谋。笔者认为，对帮助犯正犯化模式下帮助信息网络犯罪活动罪的“明知”，其内容是存在对他人利用信息网络实施犯罪的具体的认识，并合理谨慎适用推定，具体应当遵循以下推定规则：其一，是否违背一般人的常识，即所谓的“被帮助者的明显犯罪性”〔7〕刘宪权：《论信息网络技术滥用行为的刑事责任》，载《政法论坛》2015年第6 期，第96 页。，被帮助者显然是为了从事犯罪活动而寻求信息网络的技术支持，如对方要求设计可以后台控制输赢的赌博软件。其二，帮助者行为的明显异常性，即帮助者所提供的帮助显然不符合一般人的正常行为，如帮人开卡、买卖“四件套”（银行卡、电话卡、U 盾、身份证）的行为。其三，结合网络信息技术的特征进行合理的判断，网络服务提供者的“主观明知”只有结合上述特征才能给出较为合理的结论，主要应考量服务内容、服务对象的资质身份、服务手段、行业一般操作、交易方式、获利情况等。第二，刑事责任的轻重不同，帮助信息网络犯罪活动罪的法定刑为3年以下有期徒刑或者拘役，共犯参照主犯的量刑相应从轻或减轻，法定刑可能更重。第三，对是否查清下游犯罪的要求不同，共同犯罪要求主犯或同案犯的犯罪事实查证属实，达到追究刑事责任的程度，一般与主犯或同案犯一同追究刑事责任，但帮助信息网络犯罪活动罪只要求“被帮助对象事实的犯罪行为可以确认”，实际上只要求有证据证明下游犯罪行为存在并属实即可，而不要求责任人到案或者受到刑事处罚。

3．模式竞合时的处理

上述单独责任模式与共同责任模式中的共犯模式和帮助犯正犯化模式存在内在的逻辑关系，应遵循“单独责任—共犯帮助犯—帮助犯正犯化”的逻辑顺序进行认定。第一，当网络服务提供者本身参与网络信息的产生及实质修改等，其已超越服务提供者的身份，自行实施犯罪行为，是独立的责任主体，可独立构罪。第二，在同时符合共犯模式和帮助犯正犯化模式的情况下，笔者倾向于优先以共犯追究网络服务提供者的刑事责任。这既有理论上的合理性，也具有规范基础。帮助信息网络犯罪活动罪本是立法为了解决在下游犯罪行为人未到案的情况下不能追究帮助犯刑事责任的问题，实则共同犯罪更加能够还原案情的全貌，更能反映前因后果，在此种情况下认定行为人的刑事责任更加符合事实，并能够做到与主犯或者同案犯的罪刑相适应。同时，帮助犯本身是共同犯罪中的概念，将帮助犯正犯化是在打击犯罪的要求下，弱化非主要事实的查清诉求，以单独追求帮助犯的责任，也正因此法定刑设定得较轻。有学者指出这是出于“‘及时止损’的功利主义考虑”。〔8〕王莹：《网络信息犯罪归责模式研究》，载《中外法学》2018年第5 期，第1322 页。因此，在查清全部犯罪事实的情况下，以共犯认定帮助犯的刑事责任更加合理。

三、网络服务提供者犯罪的刑事应对

（一）在刑事立法中完善网络服务提供者出入罪规范

1．完善司法解释，根据服务者类型分级划分刑事责任

无论是在民事、刑事还是行政领域，网络服务提供者都缺乏一个稳定、周延的概念。网络服务提供者既是提供网络服务业务的市场主体，也是对特定空间具有管理能力的监督管理主体。为了明晰网络服务提供者的刑事责任边界，有必要根据网络服务提供者所提供的不同技术服务对网络服务提供者进行分类，设定与其类型和监管能力相匹配的审查义务，从而根据义务的履行情况，分级划分刑事责任。

首先，对于提供网络接入的服务者。网络接入服务是为用户建立连接互联网通道的中介服务，接入网络后，他们对用户运用网络进行犯罪的行为不具有控制能力，并且网络介入服务在技术层面无法编辑信息，也不能鉴别、控制网络中出现的信息。因此，难以要求提供接入服务的网络服务提供者承担数据甄别、控制义务，只有在其事先知晓对方用于违法犯罪时具有拒绝接入义务和事中知晓后的停止服务、断开链接或报警义务。

其次，对于提供储存缓存服务的提供者。考虑到信息存储空间提供者掌握了先进的网络技术，而且拥有固定的专业技术团队，对于其所支配的局部网络空间具有一定程度上事实性的控制能力，提供者应积极落实行业管控措施，自觉承担与其技术特点所造成的法益侵害风险程度相当的注意义务，并鼓励利用技术主动建立效级更高的信息安全管理机制，及时封锁，有效阻止违法信息的传播。当然，上述义务更多是企业履行社会责任的义务，并不是刑法层面的义务。但提供者在接到监管部门责令采取改正措施而拒不改正，导致违法信息大量传播，或造成严重后果的，应承担刑事责任。

最后，对于提供信息定位的服务者。一般认为信息定位服务只是访问信息的中介，如服务者只作为“信息集市”大量吸收信息供用户自行检索，则不能认定其将他人内容作为平台自己提供的内容，进而不能要求其进行全面合法审查，但一旦网络平台提供者明确了定位信息的内容，并使得用户通过定位直接打开了信息内容，而不显示信息原提供商，则应视为其全面接受了外部信息，并将定位内容作为平台自己提供的内容进行了实质性的传播行为，而不再是单纯引导用户访问的行为。因此，应要求提供深度信息定位的服务者承担保证信息合法的义务，进而承担相应的刑事责任。

2．规范行政前置措施，有效减少犯罪演化

与网络服务提供者密切相关的刑法罪名之一是拒不履行信息网络安全管理义务罪，该罪是典型的前置程序型行政犯，以行政违法为前提，行政监管的有效规范能极大程度避免网络服务提供者违法从而递进演化为犯罪的可能。“行政责令”以及“改正措施”是行政程序前置的关键要素。“行政责令”侧重程序性规则，强调的是责令行为作出的方式；“改正措施”侧重实质性规则，强调的是义务改正行为作出后的实际效果。〔9〕参见熊波：《网络服务提供者刑事责任“行政程序前置化”的消极性及其克服》，载《政治与法律》2019年第5 期，第58 页。对于“行政责令”来说，应排除形式瑕疵的责令，而将书面的责令改正通知书作为必备的行政程序的形式和载体。书面的通知书相较口头通知，一方面能明确网络服务提供者需要改正的事项及程度，另一方面便于后续刑事环节的审查认定，并且“行政责令”应是针对真实的、已经客观存在的违法信息。对于“改正措施”来说，应排除抽象、简略、不符合网络服务提供者技术能力的“无效”措施，而避免强人所难。更进一步来说，可考虑赋予被监管的网络服务提供者一定的改正措施异议权，认为监管部门提出的改正措施确不可行的，有权向该监管部门提出复议。

（二）在统筹企业自治与司法预防中打造多维治理体系

1．建立企业刑事合规体系，激励企业主动应对刑事风险

网络服务提供者越来越频繁地陷入违法犯罪的泥沼，而刑事处罚对于企业的打击往往是致命的，为了尽力避免那些有着技术能力、创新动力的网络服务企业的陨落，应采取措施，引导其建立企业合规体系，主动应对刑事风险。建立企业刑事合规体系主要表现为网络服务提供者通过明文规定指引企业发展行为，在法律规定之内开展经营活动，通过预测、监控、排查、补救等方式，在公司涉及刑事责任风险的过程中作出有效应对，其本质是公共利益、政府利益与意欲自我整顿的网络服务企业利益之间的平衡、协商。目前，已有相关机构可以定期发布企业犯罪报告，司法机关也开展了大量的企业刑事风险防控宣传，不少网络服务提供企业已经从自身技术出发，设定了企业经营指引，以后要在刑事层面对合规进行评价，充分发挥该治理模式的独特价值。具体而言，一是在实体法层面，在刑法条文中增设网络服务提供企业建立企业合规的刑事义务，将合规计划纳入企业刑事责任积极抗辩事由。〔10〕参见马明亮：《作为犯罪治理方式的企业合规》，载《政法论坛》2020年第3 期，第168 页。综合考量犯罪类型、违法后果、犯罪形态等，对轻微犯罪的网络服务提供者，将已经制定并遵照执行有效合规计划作为出罪事由，不作为犯罪处理。对触犯重罪的网络服务提供者，将合规计划作为从宽量刑情节予以考虑。二是在程序法层面，将网络服务提供企业的合规计划与认罪认罚从宽制度相结合，进一步探索企业附条件不起诉制度等，从犯罪治理层面丰富认罪认罚从宽制度的内涵。

此外，在引入网络服务企业合规计划时，要完善其配套措施设计。一是建立检察机关对企业合规计划的动态监督评估体系，联合相关职能部门，在企业合规计划制定之时，对计划目的的正当性，设计的合理性、有效性进行监督，在合规计划的实行过程中，实时评估效果，及时纠偏、修正；二是强化司法机关的外部监督，社会公众、涉利益第三人、企业股东等，可以对侦查、审查起诉阶段的监管渎职行为向检察机关申请监督；三是检察机关在审查网络服务提供者涉犯罪案件时，应主动用好公开听证制度，主动接受社会公众的监督。

2．刑事处罚与非刑罚处罚措施并用，建立多层次惩罚方式

除刑事处罚之外，对轻微犯罪的网络服务提供者，可以更多考虑非刑罚处罚措施，如训诫、责令具结悔过、责令赔礼道歉、责令赔偿损失等。适用非刑罚处罚措施，一是有助于降低刑罚处罚对轻微违法网络服务企业的打击，避免小微网络服务企业因轻微违法而破产，在惩处犯罪的同时更好地维护营商环境；二是有助于强化被告人的社会责任意识，以具结悔过的方式来完成刑事责任的追究是对被告人作为一个对自我负责的社会主体的尊重，能够起到良好的预防再犯的效果；三是非刑罚处罚措施的公开执行，有助于达成较好的社会效果。在网络的加成作用下，网络危害行为往往会导致更加严重的结果，网络服务提供者实施的危害行为会进一步波及社会上不特定大多数人的利益，也会降低民众对网络服务安全性的信心，采用公开的非刑罚处罚措施，如通过媒体公开向社会道歉等，不仅使民众切实感受到刑法规制的力量，重拾信心，还可以对其他网络服务提供者起到警示、教育作用。

3．发挥检察机关刑事主导作用，筑牢网络安全底线

网络服务提供者犯罪呈现犯罪主体多样、跨国、分散化，犯罪方式智能、隐蔽、匿名化，侵害后果广泛化，犯罪成本低廉化，给传统的犯罪办理方式带来严峻的挑战。因此，就检察机关而言，在传统办案方式的基础上，有必要探索新型办案模式，建立专业化办案团队，进一步遏制网络犯罪，维护网络安全，规范网络秩序，提高检察机关防范化解网络安全风险能力，提升检察机关惩治网络犯罪核心竞争力。同时，积极推动“四大检察”协同发力，对监管部门怠于履职的行为，检察机关应及时通过制发检察建议等形式予以纠正，督促行政机关规范行政监管，也为后续刑事介入提供条件。对于利用木马程序收集公民个人信息、APP 霸王条款侵害公众知情权、自媒体损害英雄烈士名誉等引发网络舆情，有较大社会影响且可能进入诉讼程序的案件，应及时启动民事公益诉讼程序，依法主张停止侵害、消除影响及损害赔偿等诉讼请求，维护公众权益。